微隔離:后防火墻時代的優秀實踐
安全隔離 (Segmentation) 通過將數據中心和園區網絡或云劃分為較小的隔離段來限制攻擊在組織內部橫向移動的能力,被廣泛認為是網絡安全的優秀實踐之一。
早在 2017 年,Gartner 就將微隔離 (Micro Segmentation) 評為 11 個最值得關注的安全技術之一,但是兩年多以后,隔離技術在企業信息安全體系中的應用卻并不如預期的火爆。
盡管近年來重大數據泄漏事件連綿不斷,但目前很少有企業通過安全分段/隔離 (Segmentation) 來防止違規行為的擴散。根據 Illumio 的調查報告,受訪的 300 名 IT 專業人員中,目前只有 19% 的人已經實施安全隔離相關解決方案。
安全隔離的現狀:防火墻是道坎
根據 Forrester Research 的《Forrester Wave™:零信任擴展生態系統平臺提供商》(2019年第四季度)報告,通過基于邊界的安全防御體系和傳統防火墻防止漏洞的日子已經一去不復返。跨數據中心和多云環境移動的動態工作負載的復雜性日益增加。大量新漏洞和黑客攻擊風險以及勒索軟件和惡意軟件爆發等針對性威脅,暴露了傳統安全模型的不足。
Forrester Wave™:零信任擴展生態系統平臺市場雷達圖 2019四季度
Forrester 的報告強調,零信任的策略重點是通過微隔離來防止攻擊者的橫向移動。從結構上講,零信任要求跨環境細分,以隔離威脅并限制破壞的影響。
雖然 Akamai、CISCO、Palo Alto Networks 等廠商圍繞零信任框架和概念提供了豐富的產品和平臺方案,但是阻礙零信任(以及微隔離)方案實施的主要障礙并非技術和框架成熟度。
調查顯示,雖然約有 25% 的企業安全部門正在積極計劃隔離項目,但超過一半的人根本沒有采取隔離措施或計劃在接下來的六個月內提供類似保護。
報告指出,盡管組織意識到發生安全事件的可能性很高,但他們并未利用隔離技術,因為實施起來太困難且成本很高,尤其是在企業已經部署防火墻的情況下,阻止了隔離技術的廣泛采用。
報告也給出了一些積極的數據:目前有 45% 的受訪者正在進行一項隔離項目或計劃在未來六個月內開始至少一個隔離項目。
在計劃隔離項目的人員中,調查發現,盡管防火墻實施速度慢,適應性差,工作復雜且不適合 “零信任” 框架,但仍有 81% 的受訪者將利用防火墻實施隔離項目。
防火墻的缺點
大多數公司仍然頑固地選擇防火墻來防護邊界安全性,但是大多數公司都提到用防火墻實現和管理隔離項目的成本很高。68% 的受訪者為確保防火墻的初始資本支出預算而苦苦掙扎,另有 66% 的受訪者認為確保持續的運營支出預算具有挑戰性。
防火墻的大小和復雜性也會給組織帶來問題。受訪者平均部署和調整防火墻以進行隔離的時間為一到三個月。
此外,超過三分之二的受訪者承認,防火墻部署前難以測試規則,從而更容易意外地錯誤配置規則并破壞應用程序。不管這些事故有多少,依然有 57% 的人將變更所引發的潛在風險視為不停止使用防火墻的主要原因。
隔離 (Segmentation) 實際上是零信任等安全框架的基礎。根據 Forrester Research 的 “零信任” 報告:
保衛企業邊界不再是一種有效的策略。零信任方案通過 microcore,微隔離和深度可視化定位和隔離威脅,給企業安全人員提供一個識別威脅、減緩威脅的系統性方法。
基于主機的安全隔離有更好的成本效益和可靠性
基于主機的安全隔離是成本效益和可靠性更好的隔離方法,并且在保護數據中心和云生態系統免受橫向攻擊數據泄露的影響方面更加有效。由于基于主機的安全隔離是基于軟件的,并且與網絡無關,因此它具有以下幾個重要優點:
優點:
- 至少比防火墻高 200% 的成本效益。
- 部署速度比防火墻快四到六倍。
- 與防火墻相比,規則最多減少 90%。
- 易于在部署之前進行測試,并且可以在數小時內進行更新。
- 降低應用程序和服務中斷的風險。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
